/mandos/trunk

To get this branch, use:
bzr branch http://bzr.recompile.se/loggerhead/mandos/trunk

« back to all changes in this revision

Viewing changes to plugins.d/mandos-client.c

  • Committer: Teddy Hogeborn
  • Date: 2016-02-29 22:51:57 UTC
  • mfrom: (237.4.65 release)
  • Revision ID: teddy@recompile.se-20160229225157-if6c17o8ziwncvro
Merge from release branch.

Show diffs side-by-side

added added

removed removed

Lines of Context:
9
9
 * "browse_callback", and parts of "main".
10
10
 * 
11
11
 * Everything else is
12
 
 * Copyright © 2008-2017 Teddy Hogeborn
13
 
 * Copyright © 2008-2017 Björn Påhlsson
14
 
 * 
15
 
 * This file is part of Mandos.
16
 
 * 
17
 
 * Mandos is free software: you can redistribute it and/or modify it
18
 
 * under the terms of the GNU General Public License as published by
19
 
 * the Free Software Foundation, either version 3 of the License, or
20
 
 * (at your option) any later version.
21
 
 * 
22
 
 * Mandos is distributed in the hope that it will be useful, but
 
12
 * Copyright © 2008-2016 Teddy Hogeborn
 
13
 * Copyright © 2008-2016 Björn Påhlsson
 
14
 * 
 
15
 * This program is free software: you can redistribute it and/or
 
16
 * modify it under the terms of the GNU General Public License as
 
17
 * published by the Free Software Foundation, either version 3 of the
 
18
 * License, or (at your option) any later version.
 
19
 * 
 
20
 * This program is distributed in the hope that it will be useful, but
23
21
 * WITHOUT ANY WARRANTY; without even the implied warranty of
24
22
 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the GNU
25
23
 * General Public License for more details.
26
24
 * 
27
25
 * You should have received a copy of the GNU General Public License
28
 
 * along with Mandos.  If not, see <http://www.gnu.org/licenses/>.
 
26
 * along with this program.  If not, see
 
27
 * <http://www.gnu.org/licenses/>.
29
28
 * 
30
29
 * Contact the authors at <mandos@recompile.se>.
31
30
 */
48
47
                                   strtof(), abort() */
49
48
#include <stdbool.h>            /* bool, false, true */
50
49
#include <string.h>             /* strcmp(), strlen(), strerror(),
51
 
                                   asprintf(), strncpy(), strsignal()
52
 
                                */
 
50
                                   asprintf(), strncpy() */
53
51
#include <sys/ioctl.h>          /* ioctl */
54
52
#include <sys/types.h>          /* socket(), inet_pton(), sockaddr,
55
53
                                   sockaddr_in6, PF_INET6,
627
625
                     safer_gnutls_strerror(ret));
628
626
        dhparamsfilename = NULL;
629
627
      }
630
 
      free(params.data);
631
628
    } while(false);
632
629
  }
633
630
  if(dhparamsfilename == NULL){
820
817
 
821
818
/* Set effective uid to 0, return errno */
822
819
__attribute__((warn_unused_result))
823
 
int raise_privileges(void){
824
 
  int old_errno = errno;
825
 
  int ret = 0;
 
820
error_t raise_privileges(void){
 
821
  error_t old_errno = errno;
 
822
  error_t ret_errno = 0;
826
823
  if(seteuid(0) == -1){
827
 
    ret = errno;
 
824
    ret_errno = errno;
828
825
  }
829
826
  errno = old_errno;
830
 
  return ret;
 
827
  return ret_errno;
831
828
}
832
829
 
833
830
/* Set effective and real user ID to 0.  Return errno. */
834
831
__attribute__((warn_unused_result))
835
 
int raise_privileges_permanently(void){
836
 
  int old_errno = errno;
837
 
  int ret = raise_privileges();
838
 
  if(ret != 0){
 
832
error_t raise_privileges_permanently(void){
 
833
  error_t old_errno = errno;
 
834
  error_t ret_errno = raise_privileges();
 
835
  if(ret_errno != 0){
839
836
    errno = old_errno;
840
 
    return ret;
 
837
    return ret_errno;
841
838
  }
842
839
  if(setuid(0) == -1){
843
 
    ret = errno;
 
840
    ret_errno = errno;
844
841
  }
845
842
  errno = old_errno;
846
 
  return ret;
 
843
  return ret_errno;
847
844
}
848
845
 
849
846
/* Set effective user ID to unprivileged saved user ID */
850
847
__attribute__((warn_unused_result))
851
 
int lower_privileges(void){
852
 
  int old_errno = errno;
853
 
  int ret = 0;
 
848
error_t lower_privileges(void){
 
849
  error_t old_errno = errno;
 
850
  error_t ret_errno = 0;
854
851
  if(seteuid(uid) == -1){
855
 
    ret = errno;
 
852
    ret_errno = errno;
856
853
  }
857
854
  errno = old_errno;
858
 
  return ret;
 
855
  return ret_errno;
859
856
}
860
857
 
861
858
/* Lower privileges permanently */
862
859
__attribute__((warn_unused_result))
863
 
int lower_privileges_permanently(void){
864
 
  int old_errno = errno;
865
 
  int ret = 0;
 
860
error_t lower_privileges_permanently(void){
 
861
  error_t old_errno = errno;
 
862
  error_t ret_errno = 0;
866
863
  if(setuid(uid) == -1){
867
 
    ret = errno;
 
864
    ret_errno = errno;
868
865
  }
869
866
  errno = old_errno;
870
 
  return ret;
 
867
  return ret_errno;
871
868
}
872
869
 
873
870
/* Helper function to add_local_route() and delete_local_route() */
1080
1077
    bool match = false;
1081
1078
    {
1082
1079
      char *interface = NULL;
1083
 
      while((interface = argz_next(mc->interfaces,
1084
 
                                   mc->interfaces_size,
1085
 
                                   interface))){
 
1080
      while((interface=argz_next(mc->interfaces, mc->interfaces_size,
 
1081
                                 interface))){
1086
1082
        if(if_nametoindex(interface) == (unsigned int)if_index){
1087
1083
          match = true;
1088
1084
          break;
1241
1237
           with an explicit route added with the server's address.
1242
1238
           
1243
1239
           Avahi bug reference:
1244
 
           https://lists.freedesktop.org/archives/avahi/2010-February/001833.html
 
1240
           http://lists.freedesktop.org/archives/avahi/2010-February/001833.html
1245
1241
           https://bugs.debian.org/587961
1246
1242
        */
1247
1243
        if(debug){
1427
1423
                                               &decrypted_buffer, mc);
1428
1424
    if(decrypted_buffer_size >= 0){
1429
1425
      
1430
 
      clearerr(stdout);
1431
1426
      written = 0;
1432
1427
      while(written < (size_t) decrypted_buffer_size){
1433
1428
        if(quit_now){
1449
1444
        }
1450
1445
        written += (size_t)ret;
1451
1446
      }
1452
 
      ret = fflush(stdout);
1453
 
      if(ret != 0){
1454
 
        int e = errno;
1455
 
        if(debug){
1456
 
          fprintf_plus(stderr, "Error writing encrypted data: %s\n",
1457
 
                       strerror(errno));
1458
 
        }
1459
 
        errno = e;
1460
 
        goto mandos_end;
1461
 
      }
1462
1447
      retval = 0;
1463
1448
    }
1464
1449
  }
1495
1480
  return retval;
1496
1481
}
1497
1482
 
 
1483
__attribute__((nonnull))
1498
1484
static void resolve_callback(AvahiSServiceResolver *r,
1499
1485
                             AvahiIfIndex interface,
1500
1486
                             AvahiProtocol proto,
1637
1623
__attribute__((nonnull, warn_unused_result))
1638
1624
bool get_flags(const char *ifname, struct ifreq *ifr){
1639
1625
  int ret;
1640
 
  int old_errno;
 
1626
  error_t ret_errno;
1641
1627
  
1642
1628
  int s = socket(PF_INET6, SOCK_DGRAM, IPPROTO_IP);
1643
1629
  if(s < 0){
1644
 
    old_errno = errno;
 
1630
    ret_errno = errno;
1645
1631
    perror_plus("socket");
1646
 
    errno = old_errno;
 
1632
    errno = ret_errno;
1647
1633
    return false;
1648
1634
  }
1649
1635
  strncpy(ifr->ifr_name, ifname, IF_NAMESIZE);
1651
1637
  ret = ioctl(s, SIOCGIFFLAGS, ifr);
1652
1638
  if(ret == -1){
1653
1639
    if(debug){
1654
 
      old_errno = errno;
 
1640
      ret_errno = errno;
1655
1641
      perror_plus("ioctl SIOCGIFFLAGS");
1656
 
      errno = old_errno;
 
1642
      errno = ret_errno;
1657
1643
    }
1658
1644
    return false;
1659
1645
  }
2085
2071
}
2086
2072
 
2087
2073
__attribute__((nonnull, warn_unused_result))
2088
 
int bring_up_interface(const char *const interface,
2089
 
                       const float delay){
2090
 
  int old_errno = errno;
 
2074
error_t bring_up_interface(const char *const interface,
 
2075
                           const float delay){
 
2076
  error_t old_errno = errno;
2091
2077
  int ret;
2092
2078
  struct ifreq network;
2093
2079
  unsigned int if_index = if_nametoindex(interface);
2103
2089
  }
2104
2090
  
2105
2091
  if(not interface_is_up(interface)){
2106
 
    int ret_errno = 0;
2107
 
    int ioctl_errno = 0;
 
2092
    error_t ret_errno = 0, ioctl_errno = 0;
2108
2093
    if(not get_flags(interface, &network)){
2109
2094
      ret_errno = errno;
2110
2095
      fprintf_plus(stderr, "Failed to get flags for interface "
2197
2182
  
2198
2183
  /* Sleep checking until interface is running.
2199
2184
     Check every 0.25s, up to total time of delay */
2200
 
  for(int i = 0; i < delay * 4; i++){
 
2185
  for(int i=0; i < delay * 4; i++){
2201
2186
    if(interface_is_running(interface)){
2202
2187
      break;
2203
2188
    }
2213
2198
}
2214
2199
 
2215
2200
__attribute__((nonnull, warn_unused_result))
2216
 
int take_down_interface(const char *const interface){
2217
 
  int old_errno = errno;
 
2201
error_t take_down_interface(const char *const interface){
 
2202
  error_t old_errno = errno;
2218
2203
  struct ifreq network;
2219
2204
  unsigned int if_index = if_nametoindex(interface);
2220
2205
  if(if_index == 0){
2223
2208
    return ENXIO;
2224
2209
  }
2225
2210
  if(interface_is_up(interface)){
2226
 
    int ret_errno = 0;
2227
 
    int ioctl_errno = 0;
 
2211
    error_t ret_errno = 0, ioctl_errno = 0;
2228
2212
    if(not get_flags(interface, &network) and debug){
2229
2213
      ret_errno = errno;
2230
2214
      fprintf_plus(stderr, "Failed to get flags for interface "
2480
2464
                         .args_doc = "",
2481
2465
                         .doc = "Mandos client -- Get and decrypt"
2482
2466
                         " passwords from a Mandos server" };
2483
 
    ret_errno = argp_parse(&argp, argc, argv,
2484
 
                           ARGP_IN_ORDER | ARGP_NO_HELP, 0, NULL);
2485
 
    switch(ret_errno){
 
2467
    ret = argp_parse(&argp, argc, argv,
 
2468
                     ARGP_IN_ORDER | ARGP_NO_HELP, 0, NULL);
 
2469
    switch(ret){
2486
2470
    case 0:
2487
2471
      break;
2488
2472
    case ENOMEM:
2489
2473
    default:
2490
 
      errno = ret_errno;
 
2474
      errno = ret;
2491
2475
      perror_plus("argp_parse");
2492
2476
      exitcode = EX_OSERR;
2493
2477
      goto end;
2499
2483
  
2500
2484
  {
2501
2485
    /* Work around Debian bug #633582:
2502
 
       <https://bugs.debian.org/633582> */
 
2486
       <http://bugs.debian.org/633582> */
2503
2487
    
2504
2488
    /* Re-raise privileges */
2505
 
    ret = raise_privileges();
2506
 
    if(ret != 0){
2507
 
      errno = ret;
 
2489
    ret_errno = raise_privileges();
 
2490
    if(ret_errno != 0){
 
2491
      errno = ret_errno;
2508
2492
      perror_plus("Failed to raise privileges");
2509
2493
    } else {
2510
2494
      struct stat st;
2574
2558
      }
2575
2559
      
2576
2560
      /* Lower privileges */
2577
 
      ret = lower_privileges();
2578
 
      if(ret != 0){
2579
 
        errno = ret;
 
2561
      ret_errno = lower_privileges();
 
2562
      if(ret_errno != 0){
 
2563
        errno = ret_errno;
2580
2564
        perror_plus("Failed to lower privileges");
2581
2565
      }
2582
2566
    }
2910
2894
    
2911
2895
    /* Allocate a new server */
2912
2896
    mc.server = avahi_server_new(avahi_simple_poll_get(simple_poll),
2913
 
                                 &config, NULL, NULL, &ret);
 
2897
                                 &config, NULL, NULL, &ret_errno);
2914
2898
    
2915
2899
    /* Free the Avahi configuration data */
2916
2900
    avahi_server_config_free(&config);
2919
2903
  /* Check if creating the Avahi server object succeeded */
2920
2904
  if(mc.server == NULL){
2921
2905
    fprintf_plus(stderr, "Failed to create Avahi server: %s\n",
2922
 
                 avahi_strerror(ret));
 
2906
                 avahi_strerror(ret_errno));
2923
2907
    exitcode = EX_UNAVAILABLE;
2924
2908
    goto end;
2925
2909
  }
2960
2944
 end:
2961
2945
  
2962
2946
  if(debug){
2963
 
    if(signal_received){
2964
 
      fprintf_plus(stderr, "%s exiting due to signal %d: %s\n",
2965
 
                   argv[0], signal_received,
2966
 
                   strsignal(signal_received));
2967
 
    } else {
2968
 
      fprintf_plus(stderr, "%s exiting\n", argv[0]);
2969
 
    }
 
2947
    fprintf_plus(stderr, "%s exiting\n", argv[0]);
2970
2948
  }
2971
2949
  
2972
2950
  /* Cleanup things */
3011
2989
  
3012
2990
  /* Re-raise privileges */
3013
2991
  {
3014
 
    ret = raise_privileges();
3015
 
    if(ret != 0){
3016
 
      errno = ret;
 
2992
    ret_errno = raise_privileges();
 
2993
    if(ret_errno != 0){
 
2994
      errno = ret_errno;
3017
2995
      perror_plus("Failed to raise privileges");
3018
2996
    } else {
3019
2997
      
3024
3002
      /* Take down the network interfaces which were brought up */
3025
3003
      {
3026
3004
        char *interface = NULL;
3027
 
        while((interface = argz_next(interfaces_to_take_down,
3028
 
                                     interfaces_to_take_down_size,
3029
 
                                     interface))){
3030
 
          ret = take_down_interface(interface);
3031
 
          if(ret != 0){
3032
 
            errno = ret;
 
3005
        while((interface=argz_next(interfaces_to_take_down,
 
3006
                                   interfaces_to_take_down_size,
 
3007
                                   interface))){
 
3008
          ret_errno = take_down_interface(interface);
 
3009
          if(ret_errno != 0){
 
3010
            errno = ret_errno;
3033
3011
            perror_plus("Failed to take down interface");
3034
3012
          }
3035
3013
        }
3040
3018
      }
3041
3019
    }
3042
3020
    
3043
 
    ret = lower_privileges_permanently();
3044
 
    if(ret != 0){
3045
 
      errno = ret;
 
3021
    ret_errno = lower_privileges_permanently();
 
3022
    if(ret_errno != 0){
 
3023
      errno = ret_errno;
3046
3024
      perror_plus("Failed to lower privileges permanently");
3047
3025
    }
3048
3026
  }